Unternehmen aufgepasst: Geänderte Standardvertragsklauseln für internationale Datentransfers erwartet

Die Diskussion um einen rechtssicheren Datentransfer in sogenannte unsichere Drittländer ebbt nicht ab: Nach Safe Harbor und den Entwicklungen rund um das Privacy Shield stehen nunmehr die EU-Standardvertragsklauseln und deren Rechtmäßigkeit auf dem Prüfstein. Es wird erwartet, dass noch in diesem Jahr angepasste EU-Standardvertragsklauseln (Controller-Processor) veröffentlicht werden.

Hintergrund

Sollen Daten in unsichere Drittstaaten übermittelt werden, gilt es ein angemessenes Datenschutzniveau beim Empfänger der Daten zu gewährleisten. Die Gewährleistung dieses Datenschutzniveaus ist nach dem Wegfall des Safe Harbor Abkommens insbesondere mit den USA noch immer nicht abschließend sichergestellt. Zwar ist mit dem „EU-US Privacy Shield“ kürzlich ein Folgeabkommen verabschiedet worden, jedoch leidet auch dieses nach Ansicht vieler Datenschützer an den gleichen rechtlichen Schwachstellen wie zuvor das Safe Harbor Abkommen und es ist bereits eine Klage auch gegen dieses Abkommen beim EuGH (europäischer Gerichtshof) anhängig. In praktischer Hinsicht bleiben daneben die EU-Standardvertragsklauseln, Binding Corporate Rules (BCR) und die Einwilligung der Betroffenen als weitere Legitimationsmittel für den Datentransfer.

Derzeit befinden sich die Beschlüsse zu den Standardvertragsklauseln zusammen mit den Beschlüssen zu den Angemessenheitsentscheidungen zum Schutzniveau für personenbezogene Daten in Drittstaaten aktuell in der Überarbeitung durch die Europäische Kommission. Mitte Oktober verkündete der Artikel 31 Ausschuss – der zuletzt für den Erlass des Privacy Shield zuständig war, dass nach seiner Ansicht die Standardvertragsklauseln in ihrer jetzigen Form rechtswidrig seien. Am 15. November wurden Änderungsbeschlüsse für die Standardvertragsklauseln entworfen. Eine Veröffentlichung steht bisher noch aus.

Die aktuelle Entwicklung

Die EU-Standardvertragsklauseln dienen dazu, personenbezogene Daten in Drittländer zu übertragen, bei denen nach EU-Recht kein ausreichender Schutz für personenbezogene Daten besteht. Bisher konnte auf Grundlage eines Beschlusses der EU-Kommission die EU-Standardvertragsklauseln dazu genutzt werden ein ausreichendes Schutzniveau für die Daten bei einer Übermittlung außerhalb Europas herzustellen. Seit dem Safe Harbor Urteil im Oktober 2015 sieht die Sachlage jedoch anders aus: Dem EuGH zufolge ist es für die Vereinbarung der EU-Standardvertragsklauseln notwendig, dass das jeweilige Drittland wenigstens Mindestanforderungen an das Datenschutzniveau der EU erfüllt, beispielsweise Überwachungsmechanismen zur Kontrolle von Datenschutzverstößen.

Nachdem nicht nur der Irische High Court die Zulässigkeit der EU-Standardvertragsklauseln aktuell klären lässt, hat auch die EU-Kommission (Artikel 31 Ausschuss) im Oktober 2016 festgestellt, dass die EU-Standardvertragsklauseln in ihrer jetzigen Ausführung rechtswidrig sind. Am 15.November hat sich der Artikel 31 Ausschuss der EU-Kommission getroffen, um die Änderungsentwürfe zu den Standardvertragsklauseln zu diskutieren. Insbesondere sollen auch die Kontrollrechte der nationalen Datenschutzbehörden im Hinblick auf die Angemessenheitsentscheidung gestärkt werden.

Fazit

Unternehmen, die sich aktuell in Vertragsverhandlungen mit einem Unternehmen in einem unsicheren Drittland befinden ist anzuraten, die finalen Entwürfe der EU-Kommission abzuwarten und direkt die neuen Klauselwerke 1.1 zu verwenden. Jegliche Änderungen und Ergänzungen sind genehmigungspflichtig.